Blogger und Datenschützer

Und schon wieder ein Datenschutzthema in diesem Blog. Und schon wieder muss ich kritisch sein mit dem geltenden Datenschutzrecht und den Behörden, die über die Einhaltung der Gesetze wachen. Man darf mich keinesfalls als Datenschützerfresser oder Anything-Must-Go-Anwalt missverstehen. Persönlich und als Anwalt bin ich ein handfester Datenneurotiker, was mitunter sogar Mandanten zu spüren bekommen, die nach meiner Mobilfunknummer fragen. Aber manchmal kann ich mich nur wundern.

Datenschutzrecht ist Kraut und Rüben. Nichts passt zusammen, manche Normen sind steinalt, die Gesetze, die in irgendeiner Weise des Internet adressieren, verwenden derart mobile Begrifflichkeiten, dass man größte Schwierigkeiten bei der korrekten Rechtsanwendung hat (Beispiel: Wann ist eine E-Mail-Adresse ein Bestandsdatum im Sinne des § 14 Abs. 1 TMG? Nun ja, es kommt darauf an, siehe Arning/Haag, Heise Online-Recht, C II. 3.1.1, Seite 19). Außerdem legen die professionellen Datenschützer, allen voran die Landesdatenschutzbeauftragten, diese Datenschutzgesetze grundsätzlich immer weit und manchmal für meine Begriffe zu weit aus. Aber gut, dazu sind sie ja auch da.

Diese legislativen und administrativen Vorbedingungen sind der Nährboden für wunderbare und wundersame Streitigkeiten: Bei uns im Büro schlägt Mitte November 2008 Mandant Stefan Niggemeier auf. Journalist, Blogger, Grimme-Preisträger, bildblog.de-Gründer. Er wedelt mit einem Schreiben, das er von dem Berliner Datenschutzbeauftragten erhalten hat. Inhalt: Ein Nutzer seines Internet-Angebots hätte „die Vermutung geäußert“, Stefan Niggemeier würde rechtswidrig IP-Adressen der Nutzer speichern. Darüber hinaus würde er von Internet-Nutzern, die einen Kommentar in seinem Blog veröffentlichen wollen, als Pflichtangabe die E-Mail-Adresse erheben. Das sei auch nicht erlaubt. Was sich in den Folgemonaten anschließt, ist ein Hin und Her, die Androhung eines empfindlichen Bußgelds durch die Behörde, eine typisch anwaltlich besserwisserische Antwort von uns, und am Ende, nach dem kleinen Kniff der Einholung einer Einwilligung der Nutzer (ein Satz!), der in keiner Weise die beanstandete Datenverarbeitung einschränkt, und der Einbindung einer Privacy Policy zuckt der Datenschutzbeauftragte noch einmal kurz, lässt die Bußgeldandrohung aber fallen. Mission erfüllt.

Der normale Mensch mag diesen Vorgang nicht weiter als anstößig empfinden, auch freuen sich Anwälte normalerweise über solche Fälle, weil sie viel Aufwand um gar nichts produzieren und die Billable Hours nur so herunterrauschen. Bei mir löst der Fall trotz des letztgenannten, durchaus erfreulichen Nebeneffekts aber gleich eine ganze La Ola von Störgefühlen aus.

Erstens: Wir alle sind datenverarbeitende Stellen.

Offenbar ist in den Augen der Datenschützer jeder noch so klitzekleine Websitebetreiber eine verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG und Diensteanbieter im Sinne des § 12 TMG. Der Betreiber einer genuin privaten Website wird danach datenschutzrechtlich genauso streng behandelt wie etwa der Betreibers einer Social Community, eine Online-Bank, Lidl oder die Deutsche Bahn. Wenn Gesetze derart streng ausgelegt werden, schert man also alle über einen Kamm. Konsequent zu Ende gedacht bedeutet dies, dass auch jeder Internetsurfer, der über ein Profil in einem sozialen Netzwerk verfügt und über dieses Profil mit Dritten kommuniziert, als „verantwortliche Stelle“ im Sinne des § 3 Abs. 7 BDSG anzusehen ist. Denn in seinem Profil betreibt der Nutzer ja so etwas wie Data Warehousing. Der Profilinhaber wäre dann die verantwortliche Stelle und beispielsweise MySpace oder Facebook der Auftragsdatenverarbeiter. Vergleichbares dürfte für jeden Inhaber eines E-Mail-Accounts gelten. Am Ende dieses Gedankens stünden alle halbwegs aktiven Internetnutzer unter einer umfassenden Überwachung und Kontrolle der Datenschutzbehörden, auch in Bezug auf die Inhalte der Kommunikation, die ja dem BDSG unterliegen. Die Datenschützer müsseten also anhand der §§ 28, 29 BDSG prüfen, ob ich einen Kommunikationsinhalt verbreiten darf, wenn dort der Name einer lebenden Person verwendet wird. Ehrlich gesagt: Das ist krumm. Im Zentrum des Datenschutzes sollte der Schutz des Nutzers stehen und der Schutz vor dem Nutzer.

Zweitens: Dynmaische IP-Adressen

Dynamische IP-Adressen als personenbezogene Daten. Bei kaum einer Rechtsfrage ist meine eigene Meinung weiter von der der Datenschützer entfernt als bei dieser. Wir leben offenbar auf verschiedenen Planeten. Die IP-Adresse ist eine Nummernfolge, zugeordnet noch nicht einmal einem bestimmten Rechner, sondern meistens einem Router in einem Netzwerk. Und sonst nichts, noch nicht einmal ein Pseudonym! Wird diese IP-Adresse durch den Internetzugangsprovider dynamisch an den Router vergeben vergeben, kann der Anbieter einer Website nicht herausfinden, welche natürliche Person sich hinter dieser IP-Adresse verbirgt, zumal über die IP-Adresse nur der Anschlussinhaber identifiziert werden könnte, der von dem konkreten Nutzer unterschiedlich sein kann. Diesem dynamischen Datum fehlt der Personenbezug, weil es dem gewöhnlichen Websitebetreiber keinen Rückschluss auf die Person des Internetnutzers erlaubt, der sich gerade auf seiner Seite befindet. Punkt. Zur Begründung verweise ich auf mein Schreiben, das ich für Stefan Niggemeier an den Datenschutzbeauftragten geschickt habe.

Allenfalls bei fixen IP-Adressen lässt sich der Kreis der Personen, die den Anschluss nutzen, unter Umständen eingrenzen. Das bedeutet aber immer noch nicht, dass ein Personenbezug gegeben ist, denn meistens sind es Firmen, die über einer fixe IP-Adresse verfügen, aber Firmen stehen nicht unter dem Schutz des Datenschutzgesetztes Geschützt sind nur „natürliche Personen“, wie der Jurist Menschen nennt. Zudem haben normalerweise mehrere Mitarbeiter, die über den Firmenanschluss ihre Internetverbindung aufbauen. Jedenfalls kann der in Ausnahmefällen vielleicht gegebene Personenbezug von fixen IP-Adressen nicht dazu führen, dass man stets IP-Adressen als personenbezogene Daten einordnen darf.

Leider haben sich die Datenschutzbeauftragten in dieser Frage vor Jahren schon politisch festgelegt. Von dieser Position wollen sie offenbar nicht abrücken.

Drittens: Bestandsdaten und Einwilligung

Die Erhebung von E-Mail-Adressen, bevor ein Kommentar in den Blog eingestellt werden kann, ist eine Standardfunktionalität bei WordPress. Sie lässt sich zwar abschalten, aber bin ich nicht der Auffassung, dass man dies aus datenschutzrechtlichen Gründen tun muss. Zunächst kann der Websitebetreiber in gewissem Umfang selbst bestimmen, welche Daten als Bestandsdaten seines Dienstes einzuordnen sind, weil § 14 Abs. 1 TMG dem Anbieter die Gestaltungshoheit einräumt. Diese Gestaltungshoheit übt er mit dem Einsatz von WordPress aus. Man könnte außerdem mit nur ein wenig Wohlwollen in der Bereithaltung eines entsprechenden Pflichtfeldes im Blog die Einholung einer Einwilligung des Kommentierenden erblicken, denn § 13 Abs. 2 TMG erlaubt die Kopplung der Einwilligung mit der Inanspruchnahme eines Telemediendienstes. In jedem Fall liegt eine Einwilligung vor, wenn dies gegenüber dem Nutzer vor der Erhebung im räumlichen Zusammenhang mit dem Pflichtfeld transparent kommuniziert wird („Mit Angabe der E-Mail-Adresse und Anklicken des „Post Comment“-Buttons willige ich ein, dass…“). In diese Richtung ging auch der Rat, den ich Stefan Niggemeier erteilt habe. Und weil es eben so einfach ist, eine über jeden Zweifel erhabene, datenschutzkonforme Lösung in den Blog zu implementieren, verstehe ich den Aufriss inklusive Bußgeldandrohung etc. nicht, den eine Behöre macht, wenn nur dieser eine Satz fehlt.

Viertens: Medienprivileg

Noch vor Kurzem habe ich in diesem Blog darüber frohlockt, dass auch die Landesdatenschutzbeauftragten das Medienprivileg und dessen Reichweite nun offenbar richtig anwenden. Ich hatte die Hoffnung, dass auch die Behörden endlich die Anwendung des Datenschutzrechts nicht mehr aus einer so einseitigen Perspektive betrachten, sondern auch einmal die Meinungsfreiheit in ihre Überlegungen mit einfließen lassen. Die Behandlung des Niggemeier-Falls durch den Berliner Datenschutzbeauftragten steht dem Ansatz des Niedersächsischen Landesdatenschutzbeauftragten leider diametral entgegen. Und nach meiner Meinung hat der Berliner Datenschutzbeauftragte nicht Recht:

Wenn hier einer Journalist ist, dann Stefan Niggemeier. Mehr Journalismus im Internet geht nicht! Und warum soll für ihn bitte nicht das Medienprivileg der §§ 41 BDSG, 57 RfStV [pdf] gelten? Der Berliner Datenschutzbeauftragte sagt in seinem Schreiben dazu, zwar sei Stefan Niggemeier zweifelsohne Journalist, insoweit würde auch das Medienprivileg greifen, nur entfaltet dies zu seinen Gunsten in Bezug auf die hier in Rede stehende Datenverarbeitung (IP- und E-Mail-Adresse) keine Wirkung. Diese Meinung teile ich nicht, weil: In Bezug auf die Bloginhalte gilt das Medienprivileg des § 41 BDSG, für alle anderen anfallenden und dem TMG unterliegenden Daten das Medienpriviel des § 57 RfStV. Dem TMG unterliegen die Nutzungsdaten im Sinne des § 15 TMG (also IP-Adressen) und die Bestandsdaten im Sinne des § 14 TMG (also die E-Mail-Adresse). § 57 RfStV gilt also exlizit nur für Telemedien und macht daher eine Ausnahme von den Bestimmungen des Telemediengesetzes. Wenn nach dem Wortlaut von § 57 RfStV in Bezug auf den Datenschutz „nur“ die §§ 5, 7, 9 und 38a des BDSG gelten, bedeutet dies, dass im Rahmen des Anwendungsbereichs des RfStV – also: im Rahmen von Telemedien – andere Datenschutzgesetze nicht gelten, vor allem gerade nicht mehr die Vorschriften der §§ 14 und 15 TMG. Das mag der Gesetzgeber bei der Schaffung des Rundfunkstaatsvertrags – wie so viele andere Dinge – übersehen haben, es liegt für mich aber auf der Hand. Für journalistisch-redaktionelle Telemedien gibt es nach meiner Meinung überhaupt keine Beschränkungen bei der Verarbeitung von Nutzungs- und Bestandsdaten.

Fünftens: Ausgerechnet!

Ausgerechnet Stefan Niggemeier. Da verurteilt ihn das Landgericht Hamburg über die Störerhaftung im Endeffekt dazu, Kommentare von anonymen Nutzern in seinem Blog nicht zu veröffentlichen und die Postings und die Personen, von denen diese Postings stammen, umfassend zu überwachen und zu kontrollieren. Wenn er dies nicht tut und ein erneuter Verstoß durch einen User stattfindet (Stefan Niggemeier hat mal ganz treffend auf einem Podium der re:publica08 gesagt, es hätte ihm jemand ins Forum gekotzt), muss er ein Ordnungsgeld bis zu EUR 250.000,00 fürchten. Kommt er dieser Buske-Order nach und tut er, was ein Gericht von ihm verlangt, tritt ihm der Berliner Datenschutzbeauftragte ans Schienbein, weil er angeblich zu viele Daten sammelt. Mehr zu diesem Paradoxon in Stenfans Blog.

Recht illustrativ ist auch Folgendes: In seinem Schreiben vom 18. Juni 2009 schreibt der Datenschutzbeauftragte in Bezug auf die zum Ausschluss künftiger rechtsverletzender Nutzerkommentare von Stefan Niggemeier an den Tag zu legenden Aktivitäten auf Seite 1 wörtlich.

„Unserer Auffassung nach kann Ihr Mandant letztendlich dieser Verpflichtung nur durch eine Vorabkontrolle der abgegebenen Kommentare nachkommen.“

§ 7 Abs. 2 TMG lautet demgegenüber:

„Diensteanbieter … sind nicht verpflichtet, die von ihnen … gespeicherten Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen.“

Noch Fragen?

Darüber hinaus hat der Fall aber auch aus anderen Gründen ein gewaltiges Geschmäckle: Stefan Niggemeier ist ein bekannt kritischer Journalist, der sich gerne auch mit größeren Gegnern anlegt. Da er – ganz Berufssportler mit klassischer LMU-Ausbildung – sauber recherchiert und gut formuliert, hat er äußerungsrechtlich nichts zu befürchten. Wenn man als zu Recht Kritisierter etwas gegen Stefan Niggemeier unternehmen will, kann man ihn nicht deswegen verklagen und mundtot machen. Aber kaum etwas liegt dann näher, als Stefan Niggemeier beim Datenschutzbeauftragten zu denunzieren, obwohl er nichts anderes tut, als von seiner grundgesetzlich garantierten Meinungsfreiheit Gebrauch zu machen. Das ist wie Reifenaufschlitzen oder Grafitti an die Hauswand schmieren. Und der Berliner Datenschutzbeauftragte macht dieses von einem mir unbekannten und bestimmt hässlichen Bösnickel über die „anonyme Anzeige“ initiierte Spiel auch noch mit. Leute, die weniger standhaft als Stefan Niggemeier sind, lassen sich von derartigen Aktionen vielleicht wirklich einschüchtern und machen von ihrer Meinungsfreiheit vielleicht dann doch keinen Gebrauch mehr, indem sie einfach aufhören zu bloggen.

Sechstens: Justitiabilität

Rechtsauffassungen der Landesdatenschutzbeauftragten sind faktisch nicht justitiabel. Wenn man mit einer datenschutzrechtlichen Forderung dieser Behörden konfrontiert wird, ist dagegen kaum ein gerichtliches Kraut gewachsen. Man kann natürlich abwarten, bis man ein Bußgeld kassiert, und dann vor dem Amtsgericht um seine Rechtsauffassung kämpfen. Nur: Dies dauert ewig lange (hat eigentlich jemand schon irgendetwas von dem Anfang 2008 angelaufenen meinprof.de-Prozess gehört?). Ich weiß auch nicht, ob man sich vor dem Amtsgericht, wo qualitativ offenbar gleichwertige Verhaltensweisen wie Falschparken oder Zuschnellfahren verhandelt werden, bei technisch und rechtlich hochkomplexen Datenschutzsachverhalten gut aufgehoben fühlen darf. Vielleicht habe ich ja keine Ahnung oder keinen Überblick, aber zumindest ist mir kein bedeutendes datenschutzrechtliches Verfahren bekannt, in dem ein datenschutzrechtlich zuständiges Gericht am Ende über eine der wesentlichen Rechtsfragen entschieden hätte. Art. 19 Abs. 4 GG Fehlanzeige.

Wenn man in anderen Rechtsgebieten mit unberechtigten Forderungen überzogen wird, setzt es eine juristische Schelle für den Angreifer in Gestalt einer Gegenabmahnung oder einer negativen Feststellungsklage, und der Angreifer schweigt. Oder eben auch nicht. Aber wenn man verliert, weiß man immerhin, wo man steht. Im Datenschutzrecht, einem der derzeit wichtigsten Rechtsgebiete, in dem wie kaum irgendwo sonst Rechtssicherheit vonnöten ist, funktioniert dies leider überhaupt nicht. Nur so ist zu erklären, dass sich Rechtsauffassungen wie die zum Personenbezug von IP-Adressen (siehe oben) über Jahre im Raum halten.

Siebtens: Pflicht oder Verbot?

Als Betreiber eines Online-Dienstes weiß man so langsam weder ein noch aus: Muss man bestimmte Daten speichern oder wird man bestraft, wenn man es tut? Auf der einen Seite gilt der Grundsatz der Datensparsamkeit, der auch in § 13 Abs. 6 TMG seinen Ausdruck gefunden hat. Auf der anderen Seite wollen aber alle erdenklichen Protagonisten, dass man als Websitebetreiber breitflächig Daten erhebt, und ich spreche hier noch nicht einmal von der KJM und den Identifizierungspflichten, denen Porno- oder Lottoanbieter im Rahmen der gesetzlich vorgeschirbenen Altersverifikation (§ 4 Abs. 2 S. 2 JMStV) unterliegen. Irgendwann einmal hat beispielsweise ein Anwalt in der Neuen Zeitschrift für Arbeitsrecht (Koch, NZA 2008, 911) die Behauptung erhoben, ein Arbeitgeber, der seinen Mitarbeitern die private Nutzung von E-Mail am Arbeitsplatz erlaubt, unterliege der Pflicht zur Vorratsdatenspeicherung des § 113 a TKG. Das hat mich so sehr gestört, dass ich mich genötigt gefühlt habe, eine Entgegnung für dieselbe Zeitschrift zu schreiben (Feldmann, NZW 2008, 1398). Oder: Jeder Bertreiber eines Internetforums wird es schon einmal erlebt haben, dass ein anwaltlich schlecht vertretener Betroffener die „Herausgabe“ der „Personalien“ des Forumsnutzers verlangt hat, wenn das Posting angeblich die Rechte des Betroffenen verletzt. Aus eigener Anschauung kenne ich derartige Argumentationsschemata zur Genüge aus diesem spickmich-Verfahren, in dem die wie stets klagende Lehrerseite gebetsmühlenartig die Meinung vorgetragen hat, es könne doch nicht sein, dass Schüler ihre Meinungen anonym auf dieser Internetseite verbreiten dürften. Als Anbieter müsse man sicherstellen, dass es tatsächlich Schüler sind, die da ihre Lehrer benoten. Und wenn man als Anbieter die Schüler nicht sicher identifiziert, unterliege das alles nicht der Meinungsfreiheit.

Zwischen diesen beiden Extremen „Verbot der Speicherung“ und „Pflicht zur Speicherung“ gibt es kaum etwas. Und die Antwort, ob man nun speichern darf oder muss, hängt maßgeblich von der Person desjenigen ab, den man fragt: Fragt man einen Zivilrichter, sagt der, man müsse Daten speichern. Fragt man den Mitarbeiter einer Datenschutzbehörde, sagt der, man darf nicht. Lustigerweise widersprechen sich die Datenschützer mitunter aber schon einmal selbst, je nach dem, wer sich bei ihnen beschwert. Folgende Anekdote als Beleg: Ich vertrete anwaltlich gegenüber einem Landesdatenschutzbeauftragten eine recht große Gesundheitsplattform, die auch über ein Ärztebewertungsmodul verfügt. Natürlich haben sich irgendwelche Ärzte, die auf der Plattform nur durchschnittlich bewertet wurden, bei einem Landesdatenschutzbeauftragten über meine Mandantin beschwert („Unverschämtheit“). Nun bekommt meine Mandantin ein Schreiben von diesem Landesdatenschutzbeauftragten, in dem sie aufgefordert wird mitzuteilen, wie denn sichergestellt sei, dass nur tatsächliche Patienten der Ärzte diese bewerten könnten und nicht irgendwelche Dritte, die sich als Patienten nur ausgeben. Wie soll dieser Beweis denn anders erbracht werden, als dass man von dem Nutzer verlangt, dass er ein Attest des bewerteten Arztes vorlegt, indem dieser bestätigt, dass der Nutzer wirklich sein Patient ist. Damit verlangt also eine deutsche Datenschutzbehörde von einem Internetnutzer den hieb- und stichfesten und gegenüber dem Anbieter der Internetplattform zu führenden Beweis, dass er ein – sagen wir mal – Urologie- oder Proktologiepatient ist, bevor er die Internetseite des Websitebetreibers nutzen darf. Teilweise werfen die Datenschützer also höchstselbst und ohne jede Begründung § 13 Abs. 6 TMG über den Haufen, um Ärzte vor der Meinung ihrer Patienten zu schützen. Datenschutzrechtlich bedeutet dies, dass der Anbieter des Bewertungsportals nach Auffassung dieses Landesdatenschutzbeauftragten die Datenbasis verbreitern, also mehr personenbezogene Daten verarbeiten muss, um seinen Dienst datenschutzkonform zu betreiben. Absurd.

Achtens: Das Amt

Achtung! Polemik! Überspitzung! Ähnlich wie Lehrer beklagen sich die Datenschutzbeauftragten bei jeder sich bietenden Gelegenheit, zu viel zu tun zu haben und über zu wenig Personal zu verfügen. Das kann ich nun sehr gut verstehen, wenn man seine Raison d’Etre darin sieht, bloggende Journalisten zu verfolgen, weil sie IP-Adressen speichern, und in diesem Zusammenhang seitenweise Papier zu produzieren. Wenn ich weiter fies und polemisch sein wollte, würde ich sogar behaupten, dass sich hier der leise Verdacht regt, die Landesdatenschutzbeauftragten begründeten durch eine extensive Auslegung der Datenschutzgesetze immer mehr Zuständigkeiten für sich selbst, um dann das Überlastungsargument zu ziehen, wenn tatsächliche Datenskandale geschehen, die es wirklich wert sind, als solche bezeichnet zu werden (Telekom, Lidl, LBB) und gegen die die Datenschützer nun einmal rein gar nichts präventiv unternommen haben. So fies und polemisch darf man aber wohl nicht sein. Nie! Vielleicht sind die Landesdatenschutzbeauftragten tatsächlich unterbesetzt. Das Problem scheint aber zumindest im Falle Niggemeier zu sein, dass Ressourcen nicht prioritätsentsprechend eingesetzt werden, und dies exakt zu der Zeit, zu der bei der Deutschen Bahn, dem größten Kunden des Berliner Datenschutzbeauftragten, ein datenschutzrechtlicher Krieg tobte.

Genug Störgefühl für heute.

[Epilog

Damit mich niemand missversteht, sollte ich zu guter Letzt noch zwei Dinge klarstellen:

Ein effektiver Datenschutz ist kein Luxus, sondern eine der unverzichtbaren Grundvoraussetzungen der Informationsgesellschaft im digitalen und mobilen Zeitalter. Hierfür gibt es gerade auch wirtschaftliche Gründe: Fehlt das Vertrauen in den Schutz personenbezogener Daten vor Missbrauch, wird die Gesellschaft kaum bereit sein, Kommunikations- und Informationsdienste in einem Umfang in Anspruch zu nehmen, der die erforderlichen Investitionen in die Technologien rechtfertigt. Zum Beispiel würde am Ende niemand mehr E-Mails schreiben, wenn er davon ausgehen muss, dass der Provider alle E-Mails mitliest oder alle E-Mail-Adressen verkauft und der Käufer der E-Mail-Adressen alle Nutzer beliebig zuspammen darf. Verschärft gilt dies natürlich für lebens- und demokratiekritische Applikationen wie Online-Banking, Wahlcomputer usw. Dieses Vertrauen wird insbesondere rechtlich vermittelt. Zum rechtlich vermittelten, effektiven Datenschutz zählt auch eine funktionierende Aufsicht. Fazit: Wir brauchen Datenschutzbehörden. Es ist gut, dass wir sie haben.

Aus meiner täglichen Arbeit kenne ich viele Mitarbeiter der Landesdatenschutzbeauftragen und ich schätze sie fast alle sehr. Peter Schaar zum Beispiel, unser aller Bundesdatenschutzbeauftragter, hat es mir besonders angetan. Er hat nicht nur Ahnung vom Recht, sondern ist auch mit modernen Kommunikationstechnologien vertraut; er hat sogar ein Facebook-Profil und außerdem ist es sehr unterhaltsam, ihm zuzuhören. Wenn jemand mal die Möglichkeit hat: Hingehen! Die Berliner und nordrhein-westfälischen Datenschützer mag ich aber auch sehr. Obwohl wir oft das Datenschutzrecht in zwei einander entgegen gesetzte Richtungen zu zerren versuchen, habe ich mit den Behörden stets sachgerechte Lösungen verhandeln können.

Also: Alles gut. No hard feelings.]

This entry was posted in Allgemein. Bookmark the permalink. Both comments and trackbacks are currently closed.

25 Comments

  1. Posted 2. Juli 2009 at 18:09 | Permalink

    Lustig, dass Sie unter einem Artikel, in dem Sie beschreiben, dass man von Kommentierenden ein Einverständnis zur Datenspeicherung verlangen muss…
    …eine Kommentarfunktion anbieten, bei der man als Kommentator dieses Einverständnis nicht abgeben kann/muss. :-)

    (Zur Sicherheit: Sie dürfen meine Adresse speichern.)

  2. Posted 2. Juli 2009 at 18:29 | Permalink

    @kh: ja, das ist nicht ganz unlustig, aber ich bin mir sicher, dass dies datenschutzrechtlich zulässig ist. zur vermeidung von missverständnissen: ich habe in diesem fall dem mandanten geraten, ohne anerkennung einer rechtspflicht, also sicherheitshalber, einen einwilligungstext anzubringen. dagegen kann sogar die behörde nichts mehr sagen. das hat der mandant zur abkürzung der sache gemacht. sehr vernünftig aus seiner warte. ich hingegen kann ein bisschen mehr wagen und scheue den konflikt mit dem datenschutzbeauftragten nicht. ich brauche halt keine pragmatische lösung nur zur vermeidung hoher anwaltskosten.

  3. Franz
    Posted 2. Juli 2009 at 18:58 | Permalink

    Hallo,

    es schützt der Datenschutz den Nutzer, der die Vermutung – Stefan Niggemeier würde rechtswidrig IP-Adressen der Nutzer speichern – geäußert und damit dieses unnützte Hin und Her ausgelöst hat.

    Fast hätte ich geschrieben: Leider schützt ………..

  4. Nutzer?
    Posted 2. Juli 2009 at 19:01 | Permalink

    Durch die Möglcihkeit, eine unwahre Email-Adresse anzugeben, ja sogar bewusste eine bekanntermaßen ungültige wie z. B. “Abc.@example.com” fühle ich mich ausreichen gedatenschützt. :-)

  5. Markus
    Posted 2. Juli 2009 at 19:19 | Permalink

    Das mit den dynamischen Internetadressen ist ja ganz schön geschrieben. Aber an den meisten privat genutzten Routern hängen nunmal höchstens zwei oder drei Rechner. Und dank Flatrate wird die IP Adresse schon heute gar nicht so oft neu zugewiesen, in Kombination mit den gespeicherten Angaben über Betriebssystem und Browser ließe sich da mit etwas Fantasie sicherlich ein “Profil” erstelen. Spätestens wenn IPv6 endlich mal flächendeckend eingeführt sein sollte, wird sich die IP Adresse eines Nutzers kaum noch ändern, schließlich kann er dann problemlos einen ganzen Block für sich allein haben.

    Trotzdem ist es natürlich quatsch, einen privaten Webseitenbetreiber hier zu unterstellen, diese Daten aus irgendwelchen Gründen sammeln zu wollen, schließlich sind die kommerziell wertlos.

  6. M. Boettcher
    Posted 2. Juli 2009 at 19:27 | Permalink

    Mit dem Eingeständnis, dass ein Internetnutzer mit jeweils anderen IP-Adressen das Angebot von S. Niggemeier nutzen kann, bestätigen die Datenschützer, dass ihre Rechtsauffassung Personenbindung irrig ist, auch wenn sie das gleich danach natürlich zurückweisen. Mit einer konsistenten Argumentation fiele “im Amt” das Vergnügen weg, sich einmal an etwas bekannteren Zeitgenossen zu reiben. Und dann müssten die Bürotage bis zum nächsten Urlaub wohl vollends im Tiefschlaf verbracht werden.

  7. Posted 2. Juli 2009 at 19:28 | Permalink

    @Markus: Mag ja sein. Aber selbst wenn die IP-Adresse nur seltener gewechslt wird, kann der Anbieter einer Website nicht herausfinden, welche natürliche Person sich hinter ihr verbirgt.

  8. Speckgürtelt
    Posted 2. Juli 2009 at 20:03 | Permalink

    Die jetzige Lösung ist für mich noch immer klar rechtswidrig, weil in dem erstenFeld der “Name” verlangt wird. § 13 Abs. 1 ändert nichts daran, dass gemäß Abs. 6 angeboten und auch klargestellt werden muss, dass man auch ein Pseudonym angeben kann.
    Die IP-Adresse ist jedenfalls dann personenbezogenes Datum, wenn – wie hier – gleichzeitig der Name des Nutzers abgefragt und gespeichert wird.

    Im übrigen verlangt das LG Hamburg keineswege, die Identität der Schreiber zu überprüfen, sondern nur den Inhalt der Kommentare.

  9. Posted 2. Juli 2009 at 20:13 | Permalink

    @Speckgürtelt: Endlich mal jemand, der anderer Meinung ist.

  10. Posted 2. Juli 2009 at 20:30 | Permalink

    Super Artikel – soweit vorab!

    Und so sehr ich es inhaltlich genauso sehe bzgl. des Personenbezuges bei dynamischen IP-Adressen, kommt man dennoch nicht umhin, dass die wohl h.M. in den restlichen Mitgliedsstaaten den Personenbezug nach der EU-Datenschutzrichtlinie (95/46/EG) nicht – wie in Deutschland üblich – “relativ” versteht, sondern “absolut”. Und damit reicht es dann – vereinfacht dargestellt – im Ergebnis aus, dass irgendeiner und ggf. damit auch ein Dritter den Personenbezug herstellen kann.

    Das kann man gut oder schlecht finden (und ich persönlich plädiere durchaus für einen “maßvollen” und rationalen Umgang mit IP-Adressen), aber man kann aufgrund der europarechtlichen Bezüge des Datenschutzes und einer ggf. gebotenen richtlinienkonformen Auslegung in DE nicht so tun, als würde eine beachtliche Auffassung in den restlichen Mitgliedstaaten bzgl. des Personenbezuges nicht existieren.

    Vielmehr sollte man eher rechtspolitisch einmal einen Konsens finden bzw. diesen fordern, dass IP-Adressen für sehr beschränkte Zeit (wenige Stunde, wenige Tage) zweckgebunden ohne Einwilligung gespeichert werden können (vielleicht angelehnt an § 100 TKG). Denn selbst in den USA mehren sich mittlerweile die Stimmen, die durchaus anerkennen, dass IP-Adressen Personally Identifiable Information (PII) sind.

    Und auch die Auffassung zur “verantwortlichen Stelle” mag ich rechtlich nicht ganz teilen, aber das dürfte im Ergebnis auch weniger ein Problem sein.

    Ich finde den Artikel aber gut geeignet, um auch auf diesem Wege die Diskussion in fachlicher Richtung in Gang zu bringen. Ich war auch einmal für eine Aufsichtsbehörde für den Datenschutz tätig und kann von vielen Aufsichtsbehörden nur Gutes berichten, insbesondere was die Kompromissbereitschaft und durchaus ergebnisorientierte Arbeitsweisen angeht. Hier und da gibt es mal unüberbrückbare rechtliche Differenzen, aber das ist vielleicht auch ganz gut bzw. normal so – unter Juristen…insoweit gibt es unter uns jedenfalls Konsens.

  11. mark
    Posted 2. Juli 2009 at 22:02 | Permalink

    Ich will gar nicht wissen wie eklatant man gegen den Datenschutz verstößt wenn man zudem noch google-tracking aktiviert. Das wird ja gern gemacht da die so schöne Statistiken erstellen.

  12. Daterrorist
    Posted 2. Juli 2009 at 22:15 | Permalink

    Es ist schon komisch: Die IP-Adresse ist angeblich ein so unwichtiges Datum, speichern will es dennoch jeder.
    Warum? Um später den Nutzer zu identifizieren, sollte er illegales tun. Da passt doch etwas nicht zusammen?

    Die Email-Sache verstehe ich nun jedoch überhaupt nicht. Man soll eine angeben, aber ob sie die eigene ist, geschweigedenn existiert, ist scheinbar egal. Wozu eine Adresse angeben, die nie benutzt werden soll oder darf?
    Sie können sich sicher sein, die von mir hier angegebene Adresse ist nicht meine. Ich hoffe sie nutzt Ihnen irgendwie oder gibt ihnen ein Gefühl von Sicherheit.

    Jeder Datensatz kann im übrigen staatliche Begehrlichkeiten wecken. Wenn dann die Grünen den eigenen Server mitnehmen, weil ihnen die gespeicherten IP-Adressen zusagen (die einem selbst nie nutzten), hat man wenigsten etwas mehr Freizeit.

  13. Ron Jordan
    Posted 3. Juli 2009 at 01:57 | Permalink

    “Das ist wie Reifenaufschlitzen oder Grafitti an die Hauswand schmieren. ”
    Woher nehmen Sie sich das Recht, jemanden, der auf mögliche Ungereimtheiten in Herrn Niggemeiers Umgang mit dem Datenschutzrecht hinweist, so herabzuwürdigen?
    Und sie fahren fort: “Und der Berliner Datenschutzbeauftragte macht dieses von einem mir unbekannten und bestimmt hässlichen Bösnickel über die „anonyme Anzeige“ initiierte Spiel auch noch mit.”
    Soll der Datenschutzbeauftragte Ihnen seinen Namen mitteilen, damit Sie oder Herr Niggemeier zu einer öffentlichen Hetzjagd gegen ihn aufrufen können?

  14. Posted 3. Juli 2009 at 03:28 | Permalink

    Eine IP ist kein personenbezogenes Datum, weil es eine Ziffernfolge ist, die mir nicht ein Leben lang anhaftet? Aber mein Name, der eine Buchstabenfolge ist, und sich auch ändern kann, ist ein personenbezogenes Datum? Die IP ändert sich öfter, aber mit der Uhrzeit ist sie mir zuzuordnen.

    Wäre die IP nicht personenbezogen, so dürfte man sie ja veröffentlichen. Jeder dürfte das.
    Dann sieht man, daß ich hier geantwortet habe, nachdem ich bei Amazon die satanischen Verse bestellt habe, und bevor ich bei YouPorn nach ‘Füße’ gesucht habe. Dann habe ich mein Profil in Flickr oder Flackr bearbeitet, und hier was über meinen Arbeitgeber verbreitet, dort etwas über seine Frau, dann bei Monster ein Stellengesuch eingestellt, und alle veröffentlichen die Uhrzeit und die IP, denn die IP ist ja nicht qua Gesetz geschützt – so what?

    Daß es dann zusammengetragen werden kann, und daß das nicht nur für Marktforscher interessante Optionen eröffnet, sollte m.E. bedacht werden, und ist von den Datenschützern richtig festgestellt worden.

  15. Posted 3. Juli 2009 at 08:02 | Permalink

    Nicely article

  16. Lobo
    Posted 3. Juli 2009 at 10:50 | Permalink

    Wartet mal ab, bis ‘diwärse’ Protagonisten den Admin als solches entdecken…
    Oh! Mein! Gott! was der alles darf! Ohne Kontrolle sogar! :)

  17. dot tilde dot
    Posted 3. Juli 2009 at 11:33 | Permalink

    hat schon jemand die formulierung des zustimmungs-textes und der datenschutzerklärung bei herrn niggemeier gelobt? das möchte ich hiermit tun. beide sind verstehbar, gut lesbar und geben auch beweggründe an. so gehört das.

    .~.

  18. Stefan
    Posted 3. Juli 2009 at 20:30 | Permalink

    Ich freue mich über den glimpflichen Ausgang, aber schon vor der Lektüre dieses Artikels, also in Herrn Niggemeiers Blog und in der ZEIT, stieß mir doch die Widersprüchlichkeit auf: wenn man vertritt, dass die IP kein personenbezogenes Datum ist und dies insb. anhand ihrer dynamischen und zeitlich begrenzten Vergabe begründet, wie kann man dann ernstlich auf die Idee kommen, die Speicherung/Sperrung eines IP-Bereich sei ein geeignetes Mittel, unangemessene Beiträge zu verhindern? Zudem könnten anonyme Hashes verwendet werden.
    Was mich ferner interessiert: dürfte man die Emailadresse verwenden, um, ähnlich dem Confirmed Opt-In, einen Bestätigungscode für den Kommentar zu versenden? Selbstmoderation, sozusagen?

  19. Posted 3. Juli 2009 at 21:04 | Permalink

    @stefan: die erste frage stellt die datenschutzrechtliche problematik auf den kopf: wenn die ip-adresse nicht geeignet ist, eine person zu identifizieren, ist sie kein personenbezogenes datum. dann darf man damit machen, was man will, selbst wenn es nichts bringt. ich habe mal jemanden kennen gelernt, der als hobby “ascii” angegeben hat. vielleicht gibt es ja jemanden, der als hobby “ip-adressen” angibt, und der darf dann seine ip-adressen in sein briefmarkenalbum in der cloud kleben, was der berliner datenschutzbeauftragte nicht verhindern kann. wenn der berliner datenschutzbeauftragte sich hingegen mit seiner auffassung durchsetzen sollte, wird das hobby ip-adresse-sammeln ein kurzes schattendasein fristen. aber ernst: natürlich kann man darüber diskutieren, ob ein kommentarfilter, der ausschließlich auf einer aussortierung bestimmter ip-adressen basiert, geeignet ist, um die prüfungspflichten der störerhaftung zu erfüllen. meine erfahrung vor gericht ist aber, dass man als inanspruchgenommener einfach ALLES unternehmen muss, um zu dokumentieren, dass man keine sorgfaltsverstoß sich zuschulden hat kommen lassen.

    zur zweiten frage: interessante idee. gibt es ein entsprechendes wordpress-plugin? ich bin ja blogger-frischling. wenn ich die funktionalität richtig verstanden habe, könnte man damit einige interessante anwednungen aufsetzen. auf jeden fall lässt sich diese lösung rechtskonform gestalten. ich würde einen aufklärungstext , ähnlich wie den von s. niggemeier, vor der einholung der einwilligung vorsehen und die privacy policy entsprechend ergänzen. sicher ist sicher. man müsste sich das im einzelfall aber noch einmal anschauen.

  20. d-u
    Posted 3. Juli 2009 at 21:25 | Permalink

    Also bei mir gibt es durchaus IP-Adressen, die ich seit Jahren besitze und bei denen man über die RIPE meinen kompletten Namen+Adresse nachschlagen kann.
    Da plädiere ich für Sparsamkeit, spätestens bei IPv6 hat man die Personalsierung m.M. noch stärker!
    Es existieren ja auch genug Anonymisierungsmöglichkeiten, ein einfaches hashen der IP-Adresse würde ja schon helfen. Gleicher Hash ist bei IPv4 extrem unwarscheinlich. Damit könnte man gleiche IP-Adressen identifizieren, ohne das man diese vorhalten muss.

  21. Posted 3. Juli 2009 at 23:01 | Permalink

    Stephan (Hansen-Oest) weist zutreffend auf den europarechtlichen Bezug hin.

    I. Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
    - Datenschutzrichtlinie –

    „Artikel 2 – Begriffsbestimmungen

    Im Sinne dieser Richtlinie bezeichnet der Ausdruck

    a) “personenbezogene Daten” alle Informationen über eine bestimmte oder bestimmbare natürliche Person (“betroffene Person”); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;
    …“

    https://www.datenschutzzentrum.de/material/recht/eu-datenschutzrichlinie.htm#art2

    Dass IP-Adressen unter diese Definition passen, dürfte kaum zu bestreiten sein.

  22. Posted 3. Juli 2009 at 23:03 | Permalink

    Stephan (Hansen-Oest) weist zutreffend auf die europarechtlichen Bezüge hin.

    I. Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
    - Datenschutzrichtlinie –

    „Artikel 2 – Begriffsbestimmungen

    Im Sinne dieser Richtlinie bezeichnet der Ausdruck

    a) “personenbezogene Daten” alle Informationen über eine bestimmte oder bestimmbare natürliche Person (“betroffene Person”); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;
    …“

    https://www.datenschutzzentrum.de/material/recht/eu-datenschutzrichlinie.htm#art2

    Dass IP-Adressen unter diese Definition passen, dürfte kaum zu bestreiten sein.

  23. Stefan
    Posted 4. Juli 2009 at 13:04 | Permalink

    @ Thorsten Feldmann: Ob es bereits ein Plugin gibt, kann ich leider nicht sagen, da ich kein WP benutze, aber die Funkionalität an sich ist keine große Sache und für ein Plugin sollte sich schnell jemand finden, wenn Bedarf besteht. Bislang verschicke ich eine Email, in der ich lediglich den Besitzer der Adresse über einen unter Angabe ebenjener eingegangenen Kommentar aufkläre und einen Löschcode zur Verfügung stelle.

  24. Posted 4. Juli 2009 at 17:34 | Permalink

    @ RA Michael Seidlitz: Ich wage zu bestreiten, dass IP-Adressen unter diese Definition passen: Ob personenbezogene Daten vorliegen, bestimmt sich aus Sicht des Normadressaten, also der der verantwortlichen Stelle, hier des Anbieters des Blogs. Die IP-Adresse ist für den Blogbetreiber keine Information über eine bestimmbare Person, denn er kann alleine mit der IP-Adresse die Person weder direkt noch indirekt identifizieren. Dies liegt auf der Hand bei dynmaischen IP-Adressen.

    Die IP-Adresse ist außerdem keine Kennummer, die einer Person zugeordnet ist. Sie identifiziert ein Gerät in einem bestimmten Moment, das von einer undefinierten Vielzahl von Personen genutzt werden kann. Von Bedeutung in diesem Zusammenhang ist auch Folgendes: Im Ordnungswidrigkeitenverfahren – wegen der Bußgeldandrohung (Strafe!) handeltes es sich um ein solches im Fall Niggemeier – gilt der Grundsatz “in dubio pro reo”. Man darf daher bei verschiedenen technisch vielleicht möglichen Sachverhaltsalternativen nicht einfach mit der für den Beschuldigten negativsten Variante arbeiten. Sachverhaltsunterstellungen ohne jede Ermittlungstätigkeit verbieten sich in einem Rechtsstaat, der jemanden bestrafen will. Ist jemand anderer Meinung?

  25. Posted 6. Juli 2009 at 08:13 | Permalink

    Thanks a lot for sharing……

8 Trackbacks

  1. [...] Viel mehr über die juristischen Hintergründe in Thorsten Feldmanns Feldblog. [...]

  2. [...] Passend zum Thema #Niggemeier, das #Feldblog von Thorsten Feldmann mit weiteren juristischen Hintergründen. http://www.feldblog.de/?p=266 [...]

  3. [...] Der Anwalt und Datenschutzrechtsexperte Thorsten Feldmann in seinem Blog über Blogger und Datenschützer. [...]

  4. [...] Dort beschreibt er ausführlich mit vielen Zusatzinformationen die aktuelle komplexe Situation: Blogger und Datenschützer. Diese legislativen und administrativen Vorbedingungen sind der Nährboden für wunderbare [...]

  5. By tickticktickboom | der rest aus dem netz on 3. Juli 2009 at 20:38

    [...] Interessierte Leser mag sich vielleicht auf feldblog.de zum Thema [...]

  6. By Buntes [KW 27] | mBlog on 4. Juli 2009 at 15:14

    [...] Ein Fall dieser Woche zeigt mal wieder sehr deutlich, wie merkwürdig die Online-Medienlandschaft in Deutschland geworden ist: Der Niggemeier und der Datenschutzbeauftragte. Als privater Blogger, der keine finanziellen Absichten oder gar Datenmissbrauch im Sinn hat, fragt man sich ja schon seit einiger Zeit, was dieser seltsame Abmahnwahn eigentlich bringen soll (außer dem Offensichtlichen..). Dass hier aber das Medium Internet nach ca. 15 Jahren scheinbar immer noch nicht richtig verstanden wird, stimmt mich doch etwas traurig. Der Anwalt Stefan Niggemeiers hat zu den aktuellen Vorgängen übrigens einen sehr netten eigenen Beitrag in seinem Blog veröffentlicht. [...]

  7. [...] Blogger und Datenschützer, Speicherung der IP, Briefverkehr zwichen Anwalt und Aufsichtsbehörde [...]